Поиск по сайту

Среда, 29 Декабря 2010 г.
Новая версия «LirXCA-Token» с поддержкой Рутокен ЭЦП

Компания «ЛИССИ» выпустила новую версию программного комплекса «LirXCA-Token», в котором осуществлена поддержка идентификатора Рутокен ЭЦП, USB-токена с аппаратной реализацией российских криптоалгоритмов выработки электронной цифровой подписи.

Новая версия «LirXCA-Token» - это полнофункциональный удостоверяющий центр, предназначенный для использования в малых и средних предприятиях, в банках и т.д. и обеспечивающий выпуск сертификатов для сотрудников этих компаний. Теперь при работе с «LirXCA-Token» существует возможность наряду с ПБЗИ «СКЗИ «ЛИРССЛ» использовать USB-токен Рутокен ЭЦП, в котором аппаратно реализован российский стандарт электронной цифровой подписи с поддержкой интерфейса PKCS#11 v.2.30.

Возможности Рутокен ЭЦП позволяют осуществлять механизм электронной цифровой подписи так, чтобы закрытый (секретный) ключ подписи никогда не покидал пределы токена, таким образом, исключается возможность компрометации ключа. В «LirXCA-Token» ключевая пара и сам корневой сертификат хранятся на отдельном USB-токене Рутокен ЭЦП уполномоченного лица.

Администратор комплекса «LirXCA-Token» может создавать ключевые пары для сотрудников организации, в которой он функционирует, на персональных токенах Рутокен ЭЦП, выпускать сертификаты, используя ключевую пару корневого сертификата, хранящуюся на отдельном токене администратора комплекса, а затем передавать персональный токен пользователю для дальнейшего использования: для участия в электронных торгах, выполнения банковских операций (дистанционное банковское обслуживание), подписания документов (например, с использованием SignMaker) и т.д.

В целом «LirXCA-Token» при его использовании с Рутокен ЭЦП позволяет:

  • генерировать ключевые пары (ГОСТ 3410-94, ГОСТ3410-2001, RSA, DSA);
  • формировать и хранить запросы на сертификаты в формате PKCS#10;
  • выдавать, отзывать и переиздавать сертификаты;
  • формировать списки отозванных сертификатов;
  • импортировать и экспортировать запросы, сертификаты, цепочки сертификатов, списки отозванных сертификатов.

Программный комплекс также позволяет генерировать ключевые пары c использованием ПБЗИ «СКЗИ «ЛИРССЛ». В этом случае, выпускаемые сертификаты вместе с ключевыми парами и цепочкой сертификатов (корневым сертификатом) могут экспортироваться в формате PKCS#12, а затем использоваться в различных существующих приложения («Lir VPN», LirTunnel, ЛИССИ-CSP и т.д.).

Для работы с Рутокен ЭЦП необходимо подключить соответствующую библиотеку:

Рис.1. Подключение библиотеки Рутокен-ЭЦП

«LirXCA-Token» может проинициализировать токен, поменять PIN- коды и т.д.

Рис.2. Управление токеном.

«LirXCA-Token» позволяет пользователю сформировать запрос на генерацию на токене ключевой пары, выбрать криптопараметры и сгенерировать ключевую пару:

Рис.3. Создание ключевой пары на токене – Рутокен ЭЦП

Используя ключевую пару можно сформировать запрос на сертификат в формате PKCS#10, подписанный на токене, или выпустить сертификат:

Рис.4. Формирование запроса для генерации корневого сертификата УЦ

Рис.5. Выпуск корневого сертификата УЦ

Рис.6. Создание клиентского сертификата с использованием корневого сертификата УЦ

Рис.7. Экспорт корневого сертификата на токен пользователя

Для просмотра содержимого токена достаточно выбрать соответствующий токен:

Рис.9. Просмотр содержимого токена

Рис.10. Просмотр свойств ключа

Рис.11. Просмотр содержимого сертификата

Рис.12. Экспорт сертификата на токен.

«LirXCA-Token» также позволяет осуществлять перенос ключевой информации, созданной с использованием ПБЗИ «СКЗИ «ЛИРССЛ», на Rutoken ЭЦП. Для этого необходимо щелкнуть левой кнопкой мыши по изображению нужного ключа и в открывшемся меню выбрать пункт «Store on Security token».

Рис.13. Экспорт ключевой пары на токен

Далее следует выбрать токен, на который производится экспорт.

Рис.14. Выбор токена для экспорта ключевой пары

После выбора токена и ввода PIN-кода будет предложено удалить закрытый ключ из базы данных «LirXCA-Token» и оставить в базе только ссылку на этот ключ.

Рис.16. Теперь закрытый ключ хранится на Рутокен ЭЦП

При этом ключ становится неизвлекаемым.

Данный механизм переноса позволяет также перенести на Rutoken ЭЦП ключевую информацию, ранее созданную ЛИССИ-CSP и хранящуюся на дискете, в реестре, на карте флэш-памяти, на USB-ключах Rutoken и eToken.

Для этого необходимо запустить утилиту «Экспорт в P12», входящую в состав ЛИССИ-CSP, выбрать экспортируемый сертификат и его закрытый ключ.

Рис.17. Выбор экспортируемого сертификата

После экспорта сертификата в файл в главном окне «LirXCA-Token» следует нажать кнопку «Импорт PFX (PKCS#12)», выбрать этот файл и ввести пароль, заданный при экспорте.

Рис.18. Импорт ключевой пары в формате PKCS#12

После этого откроется окно с содержимым этого файла. В этом окне следует нажать кнопку «Восстановить всё».

Рис.19. Просмотр содержимого файла формата PKCS#12

После этого сертификат и закрытый ключ будут сохранены в базе данных «LirXCA-Token».


Рис.20. Сертификат и закрытый ключ импортированы в БД «LirXCA-Token»

После этого экспортируем закрытый ключ на Рутокен ЭЦП (см. выше)

Таким образом, комплекс «LirXCA-Token» при его использовании с Рутокен ЭЦП позволяет:

  • инициализировать токены;
  • генерировать на токене ключевые пары;
  • создавать запросы на сертификат в формате PKCS#10 с формированием подписи на самом токене;
  • выпускать сертификаты;
  • импортировать/экспортировать/уничтожать сертификаты и открытые ключи на токене;
  • импортировать на токен закрытые ключи, созданные ЛИССИ-CSP, так что эти ключи становятся неизвлекаемыми.

Сертификаты и ключи, созданные с помощью «LirXCA-Token» и хранящиеся в Рутокен ЭЦП, можно использовать для подписания и проверки подписи электронных документов с помощью ПК «SignMaker»:

Рис.22. Выбор токена, содержащего ключ создания подписи

Рис.23. Выбор сертификата для создания подписи

После выбора сертификата нужно нажать кнопку «Создать подпись» и выбрать подписываемый файл:

Рис.24. Выбор подписываемого объекта

После этого нужно будет ввести PIN-код для данного токена:

Рис.25. Ввод PIN-кода

Подпись успешно создана:

Рис.26. Результат создания подписи

Проверить созданную подпись можно так: нажать кнопку «Проверить подпись» и выбрать подписанный файл. Подробности о подписи можно узнать, нажав кнопку «Просмотреть отчет».

Рис.27. Результат проверки подписи

Рутокен ЭЦП сегодня можно также использовать в проекте Mozilla с российской криптографией, поддерживаемый ООО «ЛИССИ». Используя браузер Firefox можно сгенерировать ключевую пару и отправить запрос на получение сертификата в один из удостоверяющих центров, созданных на базе «ЛИССИ-УЦ», а затем установить его в хранилище токена. В дальнейшем этот сертификат может использоваться для подписи документов через браузер Firefox, например, при участии в электронных торгах, а также в почтовом клиенте Thunderbird для подписи и/или проверки ЭЦП почтовых сообщений.

«LirXCA-Token» с поддержкой РутокенЭЦП доступен для скачивания на странице Download.



Вернуться в архив новостей
©2002-2012. Компания "ЛИССИ". Все права защищены
Телефон: +7(495) 589-99-53, e-mail: info@lissi.ru